Sérülékenységek Columbia Weather Systems rendszerekben
John Elder és Tom Westenberg, az Applied Risk munkatársai hat sérülékenységet azonosítottak a Columbia Weather Systems Weather MicroServer nevű termékének MS_2.6.9900-as és korábbi firmware-verzióiban.
A gyártó a hibákat az MS_2.7.9973-as firmware-verzióban javította. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet találni: https://ics-cert.us-cert.gov/advisories/ICSA-19-078-02
AVEVA rendszerek sérülékenysége
A Venustech-hez tartozó ADLab munkatársai a Gemalto Sentinel UltraPro korábban már általam is jelzett sérülékenységét találták meg az AVEVA alábbi rendszereiben:
- InduSoft Web Studio v8.1 SP3-nál korábbi verziók;
- InTouch Edge HMI 2017 Update 3-nál korábbi verziók.
A gyártó a hibát az érintett termékek legújabb verzióiban javította. A sérülékenységgel kapcsolatban további részleteket az ICS-CERT publikációja tartalmaz: https://ics-cert.us-cert.gov/advisories/ICSA-19-078-01
Sérülékenységek Medtronic eszközök által használt protokollban
Egy számos kutatóból álló csapat (Peter Morgan, a Clever Security munkatársa, Dave Singelée és Bart Preneel, a Leuven-i Katolikus Egyetem munkatársai, Eduard Marin a Leuven-i Katolikus Egyetem korábbi, jelenleg a Birmingham-i egyetem munkatársa, Flavio D. Garcia, Tom Chothia a Birmingham-i egyetem munkatársa, és Rik Willems a Leuven-i Gasthuisberg Egyetemi kórház munkatársa) két sérülékenységet fedeztek fel az alábbi Medtronic eszközök által használt rádiófrekvenciás telemetriai protokollban:
- MyCareLink Monitor 24950-es és 24952-es verziói;
- CareLink Monitor 2490C verzió;
- CareLink 2090 Programmer,
- Amplia CRT-D minden modell;
- Claria CRT-D minden modell;
- Compia CRT-D minden modell;
- Concerto CRT-D minden modell;
- Concerto II CRT-D minden modell;
- Consulta CRT-D minden modell;
- Evera ICD minden modell;
- Maximo II CRT-D and ICD minden modell;
- Mirro ICD minden modell;
- Nayamed ND ICD minden modell;
- Primo ICD minden modell;
- Protecta ICD and CRT-D minden modell;
- Secura ICD minden modell;
- Virtuoso ICD minden modell;
- Virtuoso II ICD minden modell;
- Visia AF ICD minden modell; and
- Viva CRT-D minden modell.
A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését javasolja és jelenleg is dolgozik a sérülékenységek javításán. A sérülékenységekről részleteket az ICS-CERT weboldalán lehet találni: https://ics-cert.us-cert.gov/advisories/ICSMA-19-080-01
Sérülékenység Schneider Electric Triconex rendszerekben
Az Applied Risk munkatársai egy DoS-támadást lehetővé tevő sérülékenységet találtak a Schneider Electric Triconex TriStation Emulator 1.2.0 verziójában, ami a Triconex TriStation 1131 4.9.0 verziójának egyik komponense. A 2017 végén nyilvánosságra került TriSIS/Triton/Hatman malware-támadás is ezt a terméket érintette.
A gyártó a hibát javító verziót tervei szerint 2019 júliusában fogja kiadni. A sérülékenységről bővebben az Applied Risk és a Schneider Electric kiadványaiban lehet olvasni.
A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:
- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.